Die Schwachstelle betrifft das WordPress-Plugin „Migration, Backup, Staging – WPvivid Backup & Migration", das Sicherungen und Umzüge von WordPress-Seiten verwaltet. Sie erlaubt einem nicht angemeldeten Angreifer, beliebige Dateien hochzuladen. Ursache ist eine fehlerhafte Fehlerbehandlung bei der RSA-Entschlüsselung in Kombination mit fehlender Bereinigung der Dateipfade. Schlägt die Entschlüsselung eines Sitzungsschlüssels fehl, bricht das Plugin nicht ab, sondern reicht den Fehlerwert an die AES-Verschlüsselung der phpseclib-Bibliothek weiter. Diese deutet den Wert als Folge von Null-Bytes, sodass ein Angreifer seine Schaddaten mit einem vorhersagbaren Null-Byte-Schlüssel verschlüsseln kann. Zusätzlich übernimmt das Plugin Dateinamen aus den entschlüsselten Daten ungeprüft, was über Pfadmanipulation (Directory Traversal) das Ausbrechen aus dem geschützten Backup-Verzeichnis ermöglicht. So können Angreifer beliebige PHP-Dateien in öffentlich erreichbare Verzeichnisse schreiben und dort ausführen lassen – mit der Folge, dass sie aus der Ferne eigenen Code auf dem Server ausführen und die Seite übernehmen können.